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Bei einem Verfahren zur Erzeugung von authentifizierten 
Geheimschliisseln werden bei einer Praauthentifikation und 
einem nachfolgenden Schliisselaufbau dieselben mathema- 
tischen Rechenoperationen eingesetzt. Fur die Praauthenti- 
fikation den Teilnehmer A und B wahlt jeder Teilnehmer ei- 
nen endlichen Korper GF(p) (resp. GF(q)), ein Element cc 
(resp. P) aus dem endlichen Korper GF(p) (resp. GF(q)) und 
eine erste geheime Zufallszohl 

{ x c 0 - - P"2 } (resp. { y e 0 . . q~2 } ) 
Dann erzeugt er einen Authentifikationsschlussel 

a (resp. B x ), 

indem er sein Element <x (resp. p) mit seiner ersten geheimen 
Zufallszahl 

x (resp. y ) 

potenztert. und gibt diesen zusammen mit dem endlichen 
Korper GF(p) (resp. GF(q)) und dem Element <x (resp. p) in 
authentifizierter Weise offentlich bekannt. Beim Schlussel- 
aufbau gehen die beiden Teilnehmer A und B so vor, dafc 
jeder der beiden Teilnehmer A (resp. B) eine zweite geheime 
Zufajlszahl [x e 0 .. q-2] (resp. [y e O p-2]) undljineri Be- 
triebsRchiuss~eTfl* (reso. (*y) erzetint. indem er Hns Flement ft 



beiden Teilnehmer A und B die Groften p K und a* austau- 
schen und den gemeinsamen authentifizierten Geheim- 
schlussel 



a ' • b 

berechnen 
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Beschreibung 



Technisches Gebiet 

Die Erfindung beschreibt ein Verfahren zur Erzeu- 
gung von authentifizierten Geheimschlusseln. 

Stand derTechnik 

Zum authentifizierten Schlusselaustausch sind im we- 
sentlichen die folgenden Verfahren bekannt 

— Authentifikation eines zufallig erzeugten Schlus- 
sels durch die Sprache, z. B. CH-Patentanmetdung 
Nr. 4307/87-0 

— Authentifikation eines zufallig erzeugten Schlus- 
seis durch elektronische Signaturen: 

a) mit einem symmetrischen Chiffrieralgorith- 
mus, 

b) mit dem RSA Verfahren (siehe R. L. Rivest, 
A. Shamir, L. Adleman, "A method for obtai- 
ning digital signatures and public-key crypto- 
systems", Comm. of the ACM, Vol.21, 
pp. 120-126,1978) 

c) mit dem El-Gamal Verfahren (siehe T. El- 
Gamal, "A public key cryptosystem and a si- 
gnature scheme based on discrete logarithms", 
IEEE Trans, on Information Theory, Vol. IT- 
31, pp. 469-471, July 1985), 

d) Schlusselaustausch mit dem Diffie-Hellman 
Verfahren (siehe W. Diffie, M. Hellman, "New 
directions in Cryptography", IEEE Trans, on 
Information Theory, Vol. 1T-22, pp. 472-492, 
1976). 

Allen Verfahren ist gemeinsam, daB sie eine Praau- 
thentifikation benotigen. Dies ist uberhaupt eine Eigen- 
schaft aller Authentifikationsverfahren und beruht dar- 
auf, daB es unmoglich ist jemanden zu identifizieren, den 
man nicht entweder bereits kennt oder von dem man 
nicht iiber eine vertrauenswiirdige Quelle weiB, wer er 
ist. Eine mogliche Form der Praauthentifikation ist, daB 
jeder Teilnehmer zu einer Schlusselauthentifikations- 
zentrale gent, sich mit seinem ReisepaB ausweist, ein 
eigenes Merkmal hinterlegt und ein entsprechendes 
Merkmal der Zentrale mitnimmt. Im Fall von mehreren 
Zentralen mussen auch diese untereinander in entspre- 
chender Weise vorgehen. Die Merkmale die benutzt 
werden, sind dabei vom verwendeten Verfahren abhan- 

Die verschiedenen Verfahren unterscheiden sich in 
zweierlei Hinsicht, in ihrer Benutzerfreundlichkeit und 
der durch sie gewahrten Sicherheit. 

— Die Authentifikation durch die Sprache ist bei 
gewissen Anwendungen nur bedingt benutzer- 
freundlich. 

— Die Signatur mit einem symmetrischen Chiffrie- 
ralgorithmus hat den Nachteil, daB, wenn der so- 
wohl beim Teilnehmer als auch in der Zentrale be- 
kannte geheime Auiheiuifikalionsschliissel be- 
kannt wird, die gesamte Kommunikation, die mil 
diesem Schliissel authentifiziert wurde, nachtrag- 
lich dechiffriert werden kann. 

— Ahnlich, aber bereits etwas weniger schlimm, 
verhalt es sich bei den publizierten Signaturen, d. h., 
beim RSA- und El-Gamal- Verfahren: Wenn der ge- 
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heime Dechiffrierschliissel des Teilnehmers A, der 
bei diesem Verfahren nur noch im Besitz dieses 
Teilnehmers ist, bekannt wird, konnen alle Daten- 
iibertragungen, die unter diesem Schliissel jemals 
beim Teilnehmer A eingegangen, d. h. f von auBen 
initialisiert worden sind, dechiffriert werden. Durch 
eine geringfugige Ausdehnung dieses Verfahrens 
laBt sich erreichen, daB die geheimen Dechiffrier- 
schlussel beider Teilnehmer bekannt werden mus- 
sen, damit obige Situation eintreten kann. Ein wei- 
terer Nachteil des RSA-Verfahrens liegt schlieBlich 
in der komplizierten Erzeugung der RSA-Schliissel. 
- das Diffie-Hellman Verfahren hat schlieBlich 
den Nachteil, daB zwischen zwei gleichen Teilneh- 
mern stets der gleiche Schliissel vermerkt wird, was 
zu einer iihnlichen Situation wie beim RSA-Verfah- 
ren fuhrt. 

Darstellung der Erfindung 



r Aufgabe der Erfindung ist es entsprechend ein Ver- 
fahren zur Erzeugung von authentifizierten (und gehei- 
men) Schlusseln anzugeben, das nur zwischen den ge- 
wiinschten Teilnehmern zum Erfolg fuhrt (Autheiuifika- 
25 lion) und auBerdem bei einer erneuten Schliisselerzeu- 
gung im allgerneinen zu anderen Schlusseln fuhrt. 

ErfindungsgemaB besteht die Losung darin, daB der 
Teilnehmer /4(resp. B)\\\ einer Praauthentifikationspha- 
se, ahnlich wie beim Diffie-Hellman Verfahren, die fol- 
30 genden Schritte durchfuhrt: 

PI) Der Teilnehmer A (resp. B) wahlt einen geeig- 
neten endlichen Korper GF(p)(vesp. GF(q))v\\\d ein 
geeignetes Element ac GF(p) (resp. pc GF(qj). Au- 

35 Berdem wahlt er zufallig eine Zahl xe 0 ... p— 2 
(resp. ycO . . . q—2) die er fur immer geheim halt. 
P2) Er bildet a* (resp. fP) und gibtdiesen zusammen 
mit GF(p)und a (resp. mit G F(q) und fl) in authenti 
fizierter Weise bekannt, z. B. indem er sie in einer 

40 Authe ntifikation szentrale hinterlegt. 

Durch diese vorbereiteten Schritte konnen nun die 
Teilnehmer A und B zu jedem Zeitpunkt uber eine ins- 
besondere nicht abhorgeschutzte Verbindung einen au- 
45 thentifizierten nur von einem bekannten Schliissel wie 
folgt konstruieren: 

51. Die Teilnehmer A und B verschaffen sich die 
Authentifikationsmerkmale (GF(q), fl, fl 9 ) und 

50 (GF(p), a, a*) ihrer Partner B und A, 

52. Die Teilnehmer A und B wahlen zufallig eine 
zweite Zahl [x £ 0 . . . <?-2}, [y £ 0 . . . p-2}, die sie 
wieder fur immer geheim halten. 

53. Sie bilden die GroBen fl* und a y und tauschen 
55 diese aus. 

54. Teilnehmer A bildet die GroBe 



im kleinsten Ervveiterungskorper der GF(p) und 
^/f<y;enthalt und Teilnehmer B bildet im gleichen 
Korper die GroUe 

(a*y(fl*/~u*yp** 

Diese gemeiusame GroBe, die, sofern das Dilfic 
Hellman Verfahren sicher ist. nur sie kennen kon- 
nen, verwenden sie als gemeinsamen Schliissel. 
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In eincr bevorzugtcn Aii.sfOhrtmgsform vcrwcnden A 
und tfdcnsclben cndlichcn Kdrpcr Ground dassclbc 
Element. In dicscm Fall lautet der Gehcimschlussel 

i - — u 

Kurze Bcschreibung der Zeichnungcn 

Nachfolgnd soil die Erfindting nnhand von Ausfiih- 
rungsbeispielen und im Zusammenhang mit den Zeich- 
nungen naher crlautert werden. Es zeigen: 

Fig. 1 ein Verschlusselungsgerat, welches nach dem 
erfindungsgemaBen Verfahrcn arbeitct, und 

Fig. 2 eine schcmatische Darstellung des erfindungs- 
gemaBen Verfahrens. 

Wege zur Ausfiihrung der Erfindung 

Fig. 1 zeigt eine Ausfiihrungsform eines Chiffrierge- 
rats 12, welches nach dem erfindungsgemaBen Verfah- 
ren arbeitet. 

An einem DatcnanschluB 1. wo z. F3. eine EDV-Anlage 
angeschlossen ist, werden Daten im Klartext an das 
Chiffriergerat abgegeben bzw. von diesem entgegengc- 
nommen. Entsprechend werden am KanalanschluB 11 
die chiffrierten Daten abgegeben bzw. entgegengenom- 
men. Das Chiffriergerat muB dabei wie die EDV-Anlage 
gegen unbefugten Zugriff geschiitzt werden. 

Das Chiffriergerat 12 umfaBt vorzugsweise folgende 
Elemente: einen Chiffriergenerator 2, einen Schalter 3, 
einen Kanalcodierer/Modulator 4, einen Monitor 5, ei- 
nen Authentifikationsprozessor 6, eine Eingabeeinheit 
7, eine Anzeige 8. einen Speicher 9 und einen Zufallszah- 
lengenerator 10. 

Der Chiffriergenerator 2 verschlusselt den Klartext 
und fuhrt den verschliisselten Text iibcr den Schalter 3 
dem Kanalcodiercr 4 zu. Dicscr codicrt z. B. den ver- 
schliisselten Text damit allfallige Fehlcr korrigiert wer- 
den konnen, urn die Synchronisation bcim Empfanger zu 
erleichtern, moduliert das Signal auf die Tragerfrequenz 
usw. und an einen anderen, zweiten Teilnehmer B. 

Der Chiffriergenerator 2 wird mit einem authentifi- 
zierten Gehcimschlussel gestartet, welcher vom Au- 
thentifikationsprozessor 6 erzeugt und abgegeben wird. 
Der Authentifikationsprozessor 6 ist mit der Anzeige 8 
und der Eingabeeinheit 7 verbunden. mit welcher das 
Gerat gestartet und kontrolliert werden kann. Ferner 
hat der Prozessor Zugriff auf den Speicher 8 und ist an 
den Zufallsgenerator 10 angeschlossen. 

Der gesnmtc Bctriebsablauf wird im Monitor 5 ge- 
steuert und iibcrwacht. Insbesondcre steuert er den 
Schalter 3, uber welchen wahlweise der Monitor selbst, 
der Authentifikationsprozessor 6 odcr der Chiffrierge- 
nerator 2 an den Kanalcodicrer 6 angeschlossen werden 
konnen. Danebcn wirkt der Monitor auf Chiffriergene- j 
rator 2. den Authentifikationsprozessor 6 und den Ka- 
nalcodicrer 4 ein. 

Das erfindungswesentliche Element des Chiffrierge- 
rats 12 ist der Authentifikationsprozessor 6. Er arbeitet 
nach dem nachstchend bcschricbencn Verfahrcn zur Er- ( 
zeugung von authentifizierten Gehcimschlusseln. 
r Fig. 2 zeigt cine schcmatische Darstellung dieses Ver- 
fahrens, welches sich groB in zwei Abschnitte aufteilcn 
liiBt. in die Praauthentifikation und den Schlusselaufbau. 

In einem Netz mit ciner Anzahl Teilnchmern muB < 
jeder znerst die Praauthentifikation durchfuhren. Diesc 
sei am Beispiel des Teilnehmers A crlautert. 

Als erstes wahlt A einen geeigneten cndlichen Korper 
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GF(p)so daB vorzugsweise p— 1 mindestens einen gro- 
Ben Primfaktor enthalt und ein Element ae GF(p)^ wel- 
ches vorzugsweise primitiv ist. Ferner erzeugt er (ran- 
dom) cine erste Zahl 
5 

**>0...p-2. 

Als zweites bildet er einen Authentifikationsschlussel 
or*, indem er das Element a in seinem endlichen Korper 
io OF(p) mit der ersten Zufallszahl % potenziert. 

Und als drittes gibt er GF(p) f das Element a und Au- 
thentifikationsschlussel or* in authentifizierter Weise of- 
fentlich bekannt. Zu diesem Zweck geht er z. B. zu einer 
Schlusselzentrale und weist sich (z. B. mit einem Reise- 
15 paB) aus. Die Authentifikationszentrale trMgt dann den 
Teilnehmer A und dessen offentliche Daten, namlich 
GF(p), nr. cr f , in eine offentliche Datei (public file) ein. 

Die erste geheime Zufallszahl x wird in einem zu- 
griffssicheren Speicher 9 (Fig. 1) abgelegt und ftir im- 
20 mer geheimgehalten. Sie kann z. B. als elektronische 
Geratenummer in einem Speicher abgelegt sein, wel- 
cher seinen Inhalt bei nicht autorisierten Leseversuchen 
zerstort. 

Auf analoge Weise fuhren die ubrigen Teilnehmer B, 
25 Cusw. die Praauthentifikation durch. 

Wenn der Teilnehmer A mit dem Teilnehmer B einen 
gesicherten Datenaustausch beginnen will, startet er die 
in der Kommunikationstechnik ublichen Protokolle und 
erzeugt dann auf die folgende Weise einen Schlussel. 
30 Er besorgt sich auf authentifizierte Weise, z. B. bei 
seiner Authentifikationszentrale oder von den offentli- 
chen Daten des Teilnehmers B: GFfq), /?, (P. 

Dann erzeugt er als erstes zufallig eine zwette Zahl 

35 xz0...q— 2. 

Als zweites bildet er dann die GroBe fl\ indem er das 
Element im endlichen Korper GF(q) des Teilnehmers B 
mit seiner zweiten Zufallszahl x potenziert. 
to Ebenso verfahrt Teilnehmer ft nachdem er erfahren 
hat, daB A mit ihm einen gesicherten Datenaustausch 
vornehmen will. Er hat also eine zweite Zufallszahl 

ye0...p-2 

und die GroBe a y erzeugt. 

Als drittes tauschen A und Z?die Gr6Ben/?*und a^aus 
und berechnen den gemeinsamen authentifizierten Ge- 
50 hcimschlussel 

a*y . flf* 

im kleinsten endlichen Korper GF(r) % welcher GF(p) 
i5 und GF(q) umfaBt. Teilnehmer A kann dies Uber die 
Berechnung des Ausdruckes 

(a>f(P*r 

,o und Teilnehmer tfiiber die Berechnung von: 

Nach dieser Schlusselkonstruktion, die ebenso wie die 
,5 Praauthentifikation im Chiffriergerat von Fig. I vom 
Authentifikationsprozessor 6 des jeweiligen Teilneh- 
mers durchgefiihrt wird, kann der gesicherte Datenaus- 
tausch beginnen. , 



ren kennt ein Eindringlich beim vorliegenden Verfahren 
nur die GroBen a* t a y , fP t P* was nach den heutigen 
Kenntnissen nicht genugt, um den Geheimschliissel 
a* y - p xy in angemessener Zeit zu berechnen, wenn der 5 
endliche Korper geeignet gewahlt wurde. Es kann sich 
keiner fiir Aoder Bausgeben, falls die Praauthentifika- 
tion korrekt durchgefuhrt wurde und die allenfalis vor- 
handene Schlusselzentrale keine falschen Authentifika- 
tionen vornimmt. (Letzters ware gleichbedeutend mil 10 
einer Behorde.die PaBfalschungen vornimmt.) 

SchlieBlich bleiben selbst beim Bekanntwerden eines 
Identifikationscodes k % y die in der Vergangenheit aus- 
getauschten Daten gesichert. Als einziger bekannter 
Angriff kann sich ein Dritter fur den entsprechenden 15 
Teilnehmer wahrend zukiinftigen Schliisselkonsiruktio- 
nenausgeben. 

r Eine Tatsache, die sich vor allem im Hinblick auf eine 
effiziente Implementierung des erfindungsgemaBen 
Verfahrens positiv auswirkt, ist die, daB sowohl in der 20 
Praauthentifikation als auch beim Schlusselaufbau als 
aufwendige mathematische Operation nur die Exponen- 
tiation auftaucht. GemaB einer bevorzugten Ausfuh- 
rungsform verwenden die Teilnehmer A und B dabei 
denselben endlichen Korper GF(p) und d ieselbe Basis a. a s 

Die Verwaltung der Authentifikationsschlussel a* P? 
ist sehr einfach. In einem Netz mil M Teilnehmern ge- 
nugt eine Tabelle, deren GroBe proportional zu M ist. 

Der Identifikationscode x kann z. B. eine Art elektro- 
nische Geratenummer sein, die z. B. in der Betriebnah- 30 
me des Gerats im zugriffsgesichertem Speicher 9 abge- 
speichert wird. Bei dieser Gelegenheit konnen auch die 
Authentifikationsschlussel weiterer Gerate (z. B. einer 
Authentifikationszentrale) instaliierl werden. Bei einer 
solchen Vorgehensweise sind nicht die Benutzer (Teil- 35 
nehmer), sondern die Gerate authentifizien, was in vie- 
len Anwendungen das eigentliche Ziel ist. 

Patentanspruche 

40 

1. Verfahren zur Erzeugung von authentifizierten 
Geheimschlusseln, dadurch gekennzeichnet, daB 
in einem Netz mil Teilnehmern A und B fiir eine 
Praauthentifikation jeder Teilnehmer A (resp. B) 

a) einen endlichen Korper GF(p) (resp. GF(q)) t 45 
ein Element a (resp. //) aus dem endlichen Kor- 
per GF(p)(resp. GF(q))wn6 eine erste geheime 
Zufallszahl {xcO . . . p— 2| (resp. \y 1 0 . . . q-2\) 
wahlt. 

b) daB er einen Authentifikationsschlussel a* 50 
(resp. (P) bildet, indem er sein Element a (resp. 

P) mit seiner ersten geheimen Zufallszahl x 
(resp.jVpotenziert, 

c) und daB er seinen Authentifikationsschlussel 
a* (resp. p?) zusammen mit dem endlichen 55 
Korper GF(p)(vesp. GF(q)) und das Element a 
(resp. P) in authentifizierter Weise offentlich 
bekannt gibt, 

und fur einen authentifizierten Schlusselauf- 
bau zwischen zwei Teilnehmern A (resp. B) 60 

d) jeder der beiden Teilnehmer A und B eine 
zweite geheime Zufallszahl [x c 0 . . . q — 2\ 
(resp. [ytQ... p— 2|) und 

e) einen Beiriebsschliissel (i* (resp. a } ) erzeugt, 
indem er das Element p (resp a) des anderen 65 
Teilnehmers /I (resp. A) ma seiner zweiten ge- 
heimen Zufallszahl x(resp. y^potenziert, 

f) und die beiden Teilnehmer A und B den 



den gemeinsamen authentifizierten Geheim- 
schlussel berechnen 

a** • 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Teilnehmer in der Praauthentifi- 
kation und beim Schlusselaufbau denselben ge- 
meinsamen endlichen Korper GF(p) verwenden. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, daB die Teilnehmer dasselbe Element (a) 
wahlen. " 
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select: 

GF(p), £ GF( p) 
random: 

A 
X 
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select: 
GF(q), p 6 GF(q ) 
random: 

A 

y 

t 



■12. 



A 
X 




GF(p),o< J* 






r 




random : 




X 6 


{O -.q 










I 

(dT y )* <p 5 ) X GGF(r) 



Public file;, 

A: GF(p), c£ / c£ x 
B : GF(q ),P , p y 

C: 



A 

y 



GRq), 0, /3 



y 




random*. 

ye {o .p - 2 } 



(/3 x ) y U* ) V €GF(r) 
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